# taz.de -- Persönliche Angaben im Internet: Unternehmen ist Datenschutz egal
> Viele Firmen im Web scheren sich nicht um die Datenschutzgesetze, zeigt
> eine neue Studie. Kein Wunder, denn die zuständigen Behörden sind mit der
> Kontrolle überfordert.
(IMG) Bild: Ein Viertel der untersuchten Unternehmen macht gar keine Angaben zu genutzten Cookies.
Die meisten Internetanbieter scheren sich nicht um die Datenschutzgesetze.
Deren Einhaltung wird auch kaum überwacht. Das ist das Ergebnis einer
Studie des Karlsruher Instituts für Technologie und der Universität
Regensburg. "In dem von uns festgestellten Umfang sind die Mängel
erschreckend", sagte Klemens Böhm, Leiter der Karlsruher Forschungsgruppe,
taz.de am Donnerstag.
Das Forscherteam untersuchte insgesamt 100 Online-Shops,
Auktionsplattformen, Informationsportale und Suchmaschinen - darunter
Seiten wie das Nachrichtenportal Spiegel Online, die Reiseseite Expedia und
die Onlinepräsenzen der Versandhäuser Otto und Quelle. Sie wollten vor
allem eine Frage beantworten: Inwieweit ist es für Verbraucher transparent,
was mit seinen persönlichen Daten geschieht. Die Antwort fällt ernüchternd
aus: "Nur fünf von 100 Anbietern halten sich vollständig an die Gesetze",
sagt Böhm.
Beispielsweise geben 31 Anbieter nur sehr grob an, welche Daten von ihnen
erhoben werden. Sechs äußern sich dazu gar nicht. Etwa ein Drittel der
Unternehmen gibt auf ihren Seiten keinerlei Hinweis darauf, wie lange Daten
der Kunden gespeichert werden.
Ähnlich finster sieht es aus, wenn die Datenerhebung per verborgener
Technik also beispielweise per Cookie geschieht. Es ist gesetzlich
vorgeschrieben, dass Nutzer über Art, Umfang und Zweck der erhobenen Daten
informiert werden. Tatsächlich passiert etwas ganz anderes: Ein Viertel der
untersuchten Unternehmen macht gar keine Angaben zu genutzten Cookies, der
große Rest informierte laut Studie entweder unzureichend oder gar falsch.
Per Gesetz muss der Kunde zustimmen, wenn der Anbieter die Daten für andere
Zwecke weiterverarbeiten will. Und selbst wenn der Kunde dazu einmal Ja
gesagt hat, kann er seine Einwilligung später wieder zurückziehen. Doch das
ficht viele Unternehmen offenbar nicht an. Zwölf Firmen holen sich die
Zustimmung gar nicht erst, 18 weisen nicht auf die Möglichkeit des
Widerrufs hin.
Außerdem können viele Nutzer nicht erkennen an wen Anbieter ihre Daten
weitergeben. Zwanzig Prozent der untersuchten Firmen geben nicht an, wer
Daten von ihnen bekommt. Über ein Viertel der Unternehmen führen für die
Weitergabe keine Gründe an.
Selbst wenn Nutzer bei Unternehmen explizit nachfragen, bekommen sie oft
nicht heraus, welche ihrer Angaben gespeichert wurden und wen der Anbieter
noch alles damit beliefert hat. "Mehr als 35 Prozent der Anbieter nehmen
die Auskunftspflicht nicht wahr", sagt Klemens Böhm, "außerdem löschen sie
die personenbezogenen Daten nicht."
Gruselig wird es, wenn die Unternehmen begründen sollen, wieso sie gegen
die Gesetze handeln. Einige behaupteten, das Löschen von Daten sei
technisch unmöglich, andere behaupten, man sei bei ihnen überhaupt nicht
registriert.
Klemens Böhm zieht daraus vor allem den Schluss, dass neue
Datenschutzgesetze nichts bringen: "Ich kann den Sinn neuer Gesetze nicht
erkennen, wenn schon die bisherigen kaum beachtet werden", sagt der
Forscher. Die Nutzer selbst könnnten das Problem am besten lösen.
In Karlsruhe forscht man derzeit an einem Portal, bei dem die Nutzer
Unternehmen nach bestimmten Kriterien bewerten und Datenschutzverstöße
anzeigen können. "So kann der mündige Konsument die Firmen zum Umdenken
bewegen", glaubt Böhm.
Zuständig für die Kontrolle der Unternehmen sind in Deutschland die
Datenschutzbeauftragten der Länder. "Die müssen endlich personell
aufgestockt werden", sagt Markus Beckedahl von Netzpolitik, einem Blog für
digitale Bürgerrechte, "nur so können sie ihre Kontrollfunktionen
erfüllen."
Tatsächlich ist es derzeit eher unwahrscheinlich, dass die Datenschützer
der Länder flächendeckend prüfen können, wo etwas falsch läuft. Im
Landesamt für Datenschutz in Schleswig-Holstein beispielsweise sind sechs
Mitarbeiter dafür zuständig, die etwa 100.000 Unternehmen im Land zu
kontrollieren, fast alle davon haben zumindest eine Homepage.
Für den Bereich Internetunternehmen ist nur eine halbe Stelle vorgesehen.
"Deshalb haben wir ein wahnsinnig großes Vollzugsdefizit", sagt
Landesdatenschützer Thilo Weichert. "Es gibt einfach zu viele Verstöße als
dass wir sie alle bearbeiten könnten."
Man wisse beispielsweise, dass etwa 80 Prozent der Web-Firmen für das
Sammeln von Kundendaten das Programm Google Analytics benutzen. "Das kann
gar nicht gesetzeskompatibel eingesetzt werden", sagt Weichert, "denn das
Programm lässt weder eine Benachrichtigung des Nutzers noch ein
Widerspruchsrecht zu." Aufgrund ihrer Ausstattung sei es den Datenschützern
jedoch schlichtweg unmöglich gegen die große Menge an Firmen vorzugehen,
die Google Analytics verwenden. Statt dessen verhandeln die
Landesdatenschützer mit dem Google-Konzern über eine einvernehmliche
Lösung. Laut Weichert stellt sich der Konzern bisher quer.
Der Datenschutzexperte und Unternehmensberater Hans Gliss gibt den
Datenschutzprüfern dagegen eine Mitschuld an der derzeitigen Situation:
"Die Behörden müssen ja nicht auf einmal alle Betriebe kontrollieren", sagt
Hans Gliss, den Firmen und Wirtschaftsverbände oft in Datenschutzfragen
konsultieren. "Wenn die Landesdatenschützer mit ein paar Unternehmen
anfangen würden, könnten sie damit ein deutliches Zeichen setzen." Gliss
glaubt, dass "die richtige Motivation fehlt".
Doch es gibt noch ein weiteres Problem: Viele der gesetzlichen Verstöße
könnten nach dem bisherigen Recht gar nicht wirkungsvoll geahndet werden,
sagt Weichert: "Wenn ein Anbieter beispielsweise nicht bekannt gibt, wann
er Daten weitergibt oder wo er Cookies setzt, dann ist das nicht
sanktionsbewehrt." Im Klartext: In solchen Fällen sehen die Gesetze keine
Bußgelder vor und daher scheren sich die Unternehmen offensichtlich nicht
darum.
Abhilfe ist hier wenigstens für den Fall in Sicht, dass ein Unternehmen auf
Nachfrage die Auskunft verweigert. Ab dem 1. April 2010 kann in solchen
Fällen ein Bußgeld von bis zu 50.000 Euro verhängt werden - dank der
letzten Novellierung des Datenschutzgesetzes in diesem Sommer.
Deshalb halten Datenschützer Weichert und Blogger Beckedahl die Ansicht der
Forscher, es brauche keine neuen Gesetze, für Unsinn. Sie glauben: Klarere
Regeln und schärfere Bußgelder könnten viele Unternehmen dazu bringen, mit
den Daten ihrer Kunden umsichtiger zu verfahren.
Nach Ansicht der Internet-Branche tut sie das übrigens bisher schon. "Nach
unserer Erfahrung ist es aus vielerlei Gründen im eigenen Interesse der
Unternehmen, sich an die Datenschutzbestimmungen zu halten", sagt Marita
Strasser, Sprecherin des Verbandes der Internetwirtschaft eco, "das Thema
ist den Unternehmen ein sehr wichtiges Anliegen."
3 Sep 2009
## AUTOREN
(DIR) Daniel Schulz
## TAGS
(DIR) Schwerpunkt Überwachung
(DIR) Datenschutz
(DIR) Schwerpunkt Überwachung
## ARTIKEL ZUM THEMA
(DIR) Datenschutz beim Onlineshopping: Handel will einfachere Regeln
Der Handelsverband fordert unkompliziertere Datenschutzerklärungen. Fast
die Hälfte der Deutschen lese die Regelungen nicht.
(DIR) Gewerkschaftler bei Datenschutzdemo: Arbeit unter Kameras
Lidl, Deutsche Bahn, Telekom – drei Beispiele für massive Verletzungen des
Arbeitnehmerdatenschutzes. Auch die Dienstleistungsgewerkschaft ver.di ist
bei der Datenschutz-Demo dabei.